Gemeinsame Arbeitskonferenz: GI l BITKOM l OCG l SI l TeleTrusT. D A CH Security. TU Graz 16. und 17. September 2014

Transkript

1 Gemeinsame rbeitskonferenz: GI l BITKOM l OCG l SI l TeleTrusT D CH Security TU Graz 16. und 17. September 2014 ktuelle Informationen: www. syssec. at/ dachsecurity2014

2 D i e n s t a g 1 6. S e p t e m b e r Uhr Registrierung, Kaffee und Tee Uhr Begrüßung und Überblick Sicherheitsmanagement Leitung: R. Welter Uhr SIEM Technik allein ist keine Lösung D. Mahrenholz Zielgerichtete ngriffe (PT) stellen die aktuell größte Bedrohung dar R. Schumann SIEM-Systeme können PT erkennen, um Schäden und Kosten zu minimieren. Brügmann Effektive SIEM-Systeme benötigen geeignete und effiziente Prozesse rt-solutions.de Bei der Umsetzung lauern viele Fallstricke und Hindernisse GmbH Geschicktes Prozessdesign hilft, die Herausforderungen zu meistern Uhr SIEM-nsätze zur Erhöhung der IT-Sicherheit auf MP-Basis K.O. Detken SIEM-Definition und nsätze DECOIT GmbH SIEM-Technologien (u.a. Event Correlation, Identity Mapping) SIEM-rchitektur auf Basis von IF-MP Mehrwerte von SIEM-Systemen für Unternehmen Herausforderungen bei der Einführung Uhr Security Patch Management in Großunternehmen M. Ifland Produkte und Lösungen setzen vermehrt auf Drittanbieter-Komponenten Siemens G IT-Sicherheitsschwachstellen treten in Drittanbieter-Komponenten auf Eine zentralisierte Patch-Management-Lösung spart Zeit und Geld Schnittstellen zur nbindung verschiedener Workflow-Systeme Einheitliche und unternehmensweite Namensgebung von Komponenten Uhr Kommunikationspause Digitale Signaturen & Öffentliche Verwaltung Leitung: R. Posch Uhr Design und Implementierung eines Localhost Signaturgateways D. Derler, C. Rath FutureID Client auf Basis des Open ecard Framework IIK TU Graz dd-on für elektronische Signaturen M. Horsch OSIS DSS Request-/Responseformat TU Darmstadt bstraktion der Signaturerstellung mittels diverser Karten T. Wich Integration der österreichischen Handy-Signatur Ecsec GmbH Uhr Standards und Lösungen zur langfristigen Beweiswerterhaltung S. Schwalm Beweiswerterhaltung elektronischer Unterlagen T. Kusber Standards und Normen zur vertrauenswürdigen Langzeitspeicherung Bearing Point GmbH Lösungsvorschläge zur vertrauenswürdigen Langzeitspeicherung U. Korte, BSI ssociated Signature Container+Evidence Records ein ustauschformat D. Hühnlein Interoperabilität technischer Beweisdaten Ecsec GmbH Uhr Security by Isolation in der öffentlichen Verwaltung O. Maurhart Migration zu virtualisierten nwendungen bei bestehenden Betrieb R. King Schutz gegen Malware beim Laden von Dokumenten von Datenträgern M. Bartha Sicheres Surfen bei vollständigem btrennen des Browsingsystems IT ustrian Unaufdringliche Integration in eine bestehende IT Infrastruktur Institute of Der öffentliche Bereich: sanfte Integration im großen Maßstab Technology Uhr Gemeinsame Mittagspause IT-Sec-Management Leitung: W. Schäfer

3 D i e n s t a g 1 6. S e p t e m b e r Sicherheitsinfrastrukturen & nwendungen Leitung: P. Lipp Uhr bsicherung von einer M2M-Telematikplattform J. Sell Zentralisierte M2M-Kommunikationinfrastruktur zwischen Landmaschinen E. Eren Kommunikationsszenarien im landwirtschaftlichen Bereich S. Gansemer Exemplarische IT-Infrastruktur und Komponenten T. Horster-Möller Implementierung etablierter Protokolle und Tools FH-Dortmund Datenkommunikation und blage Uhr nonymität und Mehrwegeübertragung R. Wigoutschnigg Gesteigerte nonymität durch Mehrwegeübertragung? Uni Klagenfurt uswirkungen für Sender und Empfänger Gefahren durch den Predecessor-ngriff Evaluation durch Simulationen Vergleich mit bestehenden Systemen Uhr bsicherung von Smart-Meter-Umgebungen durch TC K.O. Detken Einführung in ein Smart-Meter-Szenario DECOIT GmbH Bewertung geeigneter Schutzverfahren (TCG versus BSI) K.H. Genzel SMGW-Integritätsprüfung mit Trusted-Computing-Verfahren HS Bremen Einsatz von Trusted Network Connect (TNC) usblick von Trusted Computing im Smart-Meter-Umfeld Uhr Sicherheit von industriellen Steuerungssystemen. Floß Kritische Betrachtung des ICS-Security-Kompendiums HiSolutions G BSI IT-Grundschutz-Vorgehensweise bei ICS Best-Practice Maßnahmen Gefährdungen und Risikoanalyse für ICS usblick für weitere ktivitäten Uhr Kommunikationspause Digitale Forensik & ngriffstechniken Leitung: K. Lemke-Rust Uhr Digitalisierte Forensik: Sensorbildfusion und Benchmarking C. Krätzer Design eines Fusionsframeworks für die intra-/inter Sensorfusion M. Hildebrandt Subjektiver und objektiver Vergleich von Sensor-/Featurelevelfusion. Dobbert Benchmarking zerstörungsfreier, kontaktloser, optischer Messtechnik J. Dittmann Untersuchung der Reproduzierbarkeit von Sensorsignalen und rtefakten Uni Magdeburg Evaluation anhand latenter Fingerspuren als ausgewählter Tatortspur Uhr ngriffszenarien auf Truecrypt B. Röllgen Ist das Team hinter TrueCrypt ein Phantom? Global IP ngriffe via Trojaner, nalyse des RM, IO Control Codes, Kopien von Images Telecommuni- Kommerzielle Software gewinnt Schlüssel für BitLocker, TrueCrypt und PGP cations Gegenmaßnahmen in GUI und Treiber sind noch weitestgehend unbekannt Konkrete Maßnahmen, mit denen TrueCrypt effektiv gehärtet werden kann Uhr Ende erster Konferenztag Uhr Gemeinsames bendessen

4 M i t t w o c h 1 7. S e p t e m b e r Compliance & Risikomanagement Leitung: G. Jacobson Uhr IT Compliance mit kontextuellen Sicherheitsanforderungen M. Brunner Ganzheitliches Sicherheitsmanagement auf Basis von Unternehmensmodellen R. Breu Kooperative Definition und Verwaltung kontextueller Sicherheitsanforderungen Uni Innsbruck Hoher utomatisierungsgrad beim Überwachen von Sicherheitsanforderungen Frei konfigurierbare change-getriebene Workflows Demonstration des Tools adamant Uhr Kennzahlen im Informationssicherheitsmanagement M. Stöwer Sicherheitskennzahlen ergänzen udits R. Kraft Sie sind Bestandteil eines standardkonformen ISMS Fraunhofer- Ziele der Nutzung von Kennzahlensystemen Institut SIT Gute Kennzahlen Erfahrungen aus Beispielimplementationen Uhr Entwicklung einer Test-Umgebung für Risiko-ssessmenttools S. Schauer Risiko-Management IT Generische Test-Umgebung für Risiko-ssessments. Peer, J. Göllner Evaluation von Risiko-ssessmentmethoden BMLVS Identifikation von ngriffsstrategien durch das Doppelvektor-Modell S. Rass CI+-Sicherheitsbewertung von Kommunikationskanälen in Unternehmen Uni Klagenfurt Uhr Kommunikationspause Datenkontrolle & Rechtliche spekte Leitung: P. Schartner Uhr Datenkontrolle mit Software für Informationsrechteverwaltung D. Scherrer Verschlüsselungsverfahren beim Formular- und Dokumentenschutz BLUESITE Identitäts- und Schlüsselmanagement der Informationsrechteverwaltung Planung und Implementierung von Informationsrechten in Organisationen bgrenzung Data Leakage Prevention und Informationsrechteverwaltung Beispiele Informationsrechteverwaltung verschiedener Plattformen Uhr Wahrnehmung der Richtlinien von Facebook N. Hintz Facebook s Datenverwendungsrichtlinien aus der Perspektive der Nutzer W. Schwarz Besorgnis der Nutzer über die Datenweitergabe seitens Facebook Uni Erlangen- Ursache und Hintergründe für das kzeptieren der Facebook GBs Nürnberg Wahrnehmung der Facebook Nutzungsbedingungen aus Sicht der Mitglieder usblick und weitere Entwicklung Uhr Schutz nicht nur der Inhalte, sondern auch der Metadaten H. Jäger Datenschutz-Herausforderungen für Cloud-Dienste Uniscon GmbH Die Sealed-Cloud-Versiegelung Betreibersicherheit Pseudonymisierung von Fremdschlüsseln Versiegelte Dekorrelation Uhr Outsourcing im Massengeschäft sicher und rechtskonform M. Bergt Outsourcing ist datenschutzrechtliche uftragsdatenverarbeitung von BOETTICHER Das Gesetz passt für große Outsourcing-Vorhaben, nicht für die Cloud Rechtsanwälte Umfangreiche Verträge und Kontrollen des nbieters sind vorgeschrieben Massenverkehr braucht Standard-Verträge und Standard-Sicherheitsniveaus Die Kontrolle der Sicherheit können Zertifikate Dritter übernehmen

5 M i t t w o c h 1 7. S e p t e m b e r Workshop der GI-FG SECMGT Leitung: I. Münch & B. Witt B Uhr Ganzheitliche Informationssicherheit bei Banken B.C. Witt Zahlreiche nforderungen für Banken it.sec GmbH&Co.KG Haftungsentlastung durch best practices (statt good practice) Cross-Control-Mapping beim IT-GRC-Management nötig Herausforderungen an die IT-GRC-Infrastruktur Beispiele guter Praxis Uhr Cyber-Sicherheits-Check M. Becker Reflektion des Leitfadens Cyber-Sicherheits-Check BSI Einführung in die Cyber-Sicherheit und aktuelle Lage Grundsätze und Voraussetzungen zur Durchführung Durchführung eines Cyber-Sicherheits-Checks Weiterbildung zum Cyber-Security-Practitioner Uhr Gemeinsame Mittagspause egovernment & Identitätsmanagement Leitung: H. Leitold Uhr Umsetz ung von vertrauenswürdigem Open Government Data K. Stranacher Open Government Data (OGD) für Veröffentlichung von öffentlichen Daten B. Zwattendorfer uthentizität und Integrität fanden bisher wenig bis keine Beachtung S. Fruhmann Vertrauenswürdiges OGD mittels elektronischer Signaturen P. Koch Signaturfähigkeit von OGD Formaten EGIZ rchitektur und Umsetzung eines vertrauenswürdigen OGD Uhr Föderiertes Identitätsmanagement in der Cloud B. Zwattendorfer Identitätsmanagement-Modelle in der Cloud K. Stranacher Föderation von unterschiedlichen Cloud Identity Brokern EGIZ Prototypische Implementierung mit OpenID/Twitter als Identity Provider F. Hörandner Schutz der Daten durch Verwendung von Proxy Re-Encryption TU Graz Daten unter der Kontrolle des Benutzers Uhr IdP zur Verifikation der vertrauenswürdigen digitalen Identität. González Robles Vertrauenswürdige digitale Identität N. Pohlmann Identity Provider Modell mit Trusted Third Party (TTP) if(is) Westfälische Verifikation der vertrauenswürdigen digitalen Identität Hochschule Identity Provider Modell mit dem neuen Personalausweis (np) Gelsenkirchen Modell auf andere TTP und Objekt-IDs des Internet der Dinge anwenden Uhr Kommunikationspause

6 M i t t w o c h 1 7. S e p t e m b e r Mobile ( Un) Sicherheit Leitung: P. Horster Uhr Zum sicheren Löschen auf Smartphones B. Roos Sicherheit der vom ndroid System bereit gestellten Löschmöglichkeiten H. Baier Konzeptionierung unterschiedlicher sicherer Löschstrategien P. Lyko Prototyp zum sicheren Löschen von Daten im Flashspeicher Hochschule Blockweises Löschen auf Nand Flashspeicher Darmstadt/CSED Verteilung der Daten durch Wear Leveling und Bad Block Management Uhr rchitekturelle Sicherheitsanalyse für ndroid pps B. Berger utomatische Extraktion der Sicherheitsarchitektur von ndroid pps K. Sohr rchitekturelle Sicherheitsanalyse von (hybriden) ndroid pps Uni Bremen Konzeptionelle Sicherheitsprobleme in Software identifizieren U. Kalinna Frameworkspezifische Sicherheitsprobleme in Software identifizieren ifsec GmbH Wissensdatenbank mit architekturellen Sicherheitsregeln Uhr ktuelle Grenzen der mobilen Sicherheit P. Papagrigoriou Status Quo und Herausforderungen EMPELOR GmbH State-of-The-rt bwehr und protektive Technologien Grenzen rechtlicher und ethischer Zulässigkeit von Sicherheitslösungen Wie können Schwachstellen eliminiert werden? Die zukunftsgerichtete Lösung für die wahre mobile Sicherheit Uhr Konferenzende... als Referenten haben sich zusätzlich zur Verfügung gestellt: Risikokommunikation Besondere Merkmale von Risikokommunikation in einer IT Schadenslage Mögliche Folgen für das Krisenmanagement Ursachen für Problemquellen Methoden zur Messung Lösungsvorschläge zur Prävention ISMS im Bereich der Energieversorgung und -messung Vorgaben für Smart Meter Gateway Betreiber Vergleich ISO und BSI TR BSI IT-Grundschutz-Vorgehensweise im Bereich Smart Meter Best Practice Maßnahmen usblick und notwendige weitere ktivitäten N. Wlczek IBG mbh T. Goldschmidt HiSolutions G Die Beiträge dieser Referenten finden Sie auch im Tagungsband zur Konferenz

7 Programmkomitee Vorsitz: P. Schartner Uni Klagenfurt P. Lipp TU Graz R. ckermann SP Research P. Beenken Porsche G R. Bloem TU Graz J. Dittmann Uni Magdeburg D. Engel FH Salzburg J. Fuß FH Hagenberg M. Hartmann SP P. Horster Uni Klagenfurt D. Hühnlein ecsec GmbH G. Jacobson Secardeo GmbH S. Janisch Uni Salzburg K. Knorr HS Trier T. Kob HiSolutions G U. Korte BSI P. Kraaibeek secunet W. Kühnhauser Uni Ilmenau P.J. Kunz Daimler S. Lechner JRC H. Leitold -SIT K. Lemke-Rust HS Bonn-Rhein-Sieg S. Mangard TU Graz B. Mester Uni Oldenburg H. Mühlbauer TeleTrusT I. Münch BSI J. Neuschwander HTWG Konstanz. Philipp Utimaco N. Pohlmann FH Gelsenkirchen R. Posch TU Graz W. Rankl Giesecke & Devrient S. Rass Universität Klagenfurt H. Reimer DuD. Roßnagel Uni GH Kassel W. Schäfer DTEV H. Storck T-Systems GmbH S. Teufel Uni Fribourg P. Trommler GSO HS Nürnberg G. Weck Infodas C. Wegener Uni Bochum E. Weippl SB Research S. Werth BM des Innern. Wespi IBM CH B. C. Witt it.sec GmbH K.-D. Wolfenstetter DTG GI-FG SECMGT Workshop Leitung: I. Münch BSI B.C Witt it.sec GmbH & Co. KG K. Kirst PTLV D. Koschützki HS Furtwangen S. Leuchter HS Rhein-Waal P. Reymann ITQS C. Stark Citigroup G J. Voßbein UIMC R. Welter IBG mbh Organisation D. Cechak Uni Klagenfurt P. Lipp TU Graz P. Schartner Uni Klagenfurt M. Möhlmann Leitungsgremium der Konferenzreihe P. Horster Uni Klagenfurt P. Schartner Uni Klagenfurt

8 n m e l d u n g & T e i l n a h m e b e d i n g u n g e n D CH Security und 17. September 2014 TU Graz Campus Inffeldgasse nmeldung zur Konferenz Telefon: +43 (0) Online-nmeldung unter: Teilnahmebedingungen Bei nmeldung bis zum bis 14. ugust 2014 beträgt die Teilnahmegebühr 395, (Frühanmeldegebühr), danach 480, jeweils zuzüglich der gesetzlichen Mwst. Referenten zahlen nur die Referentengebühr von 345, zzgl. Mwst. Die Teilnahmegebühr beinhaltet ein Exemplar des Tagungsbandes (Hardcover mit ISBN), Pausengetränke, Mittagessen an beiden Konferenztagen und ein gemeinsames bendessen am ersten Konferenztag. Bei Stornierung der nmeldung bis 8. ugust 2014 (Datum des Poststempels) wird eine Bearbeitungsgebühr von 75, erhoben. Nach dem 8. ugust 2014 ist die volle Tagungsgebühr zu entrichten. Es ist jederzeit die Benennung einer Ersatzperson ohne zusätzliche Kosten möglich. Tagungsbände Zusätzliche Tagungsbände können bestellt werden unter: Kontakt lpen-dria-universität Klagenfurt Forschungsgruppe Systemsicherheit ( syssec) Universitätsstr Klagenfurt URL: konferenzen@syssec.at Bilder: shutterstock.com ndrea Danti, Lukiyanova Natalia/frenta